2021年9月10日(金)、日本銀行金融研究所情報技術研究センターにて、「スマートフォンの利用にかかるセキュリティ」をテーマとした第22回情報セキュリティ・シンポジウムが開催されました。このシンポジウムにおいて、IS研究所の磯部光平研究員が「スマホ時代のリスク管理 ~スマホ・プラットフォームをどうトラストするか~」と題して講演を行いました。
スマートフォン向けサービスは、サービス提供者の開発したアプリだけでなく、スマートフォンのOSやセンサなども利用することが多々あります。そのため、スマートフォンのプラットフォームが提供する機能による、スマートフォン向けサービスへの影響度は増大しています。一方で、スマートフォンのプラットフォームのブラックボックス化が進み、サービス提供者が直接関与することが難しい外部リスクが課題になっています。そのため、サービス提供先のデバイスやプラットフォームが信頼できるかを知るため、外部リスクの管理や評価をする仕組みが注目されています。
外部リスクの管理は、人手のみでは困難であるため、自動化された仕組みや管理・評価を前提として環境整備が必要です。自動化の仕組みとして、アプリやデバイスが安全な状態かを検証する機能であるアテステーションが挙げられており、アテステーションのプロトコルやデータのフォーマットの標準化に向けた検討が行われています。また、プラットフォームのブラックボックス化への対応として、第三者による評価が可能な、公開された技術に基づいてプラットフォームを設計・構成する取組みが進められています。
磯部研究員の所属する暗号・認証基盤グループでは、通信の秘匿性やデータの真正性を担保するセキュリティの根幹技術として暗号化や署名・認証などの技術を研究しており、今後も信頼できるプラットフォームで構築されたサービスの実現に向けて取り組んで参ります。
第22回情報セキュリティ・シンポジウムの模様(外部サイト)